Questa sezione illustra come configurare un destinazione non SD-WAN di tipo Router IKEv2 generico (VPN basata su route) (Generic IKEv2 Router (Route Based VPN)) in SD-WAN Orchestrator.
Nota: Per configurare un
Router IKEv2 generico (VPN basata su route) (Generic IKEv2 Router (Route Based VPN)) tramite Edge, vedere
Configurazione di un sito non VMware SD-WAN di tipo Router IKEv2 generico tramite Edge.
Procedura
- Nel riquadro di spostamento in SD-WAN Orchestrator, passare a Configura (Configure) > Servizi di rete (Network Services).
Viene visualizzata la schermata Servizi (Services).
- Nell'area Destinazione non SD-WAN tramite gateway (Non SD-WAN Destinations via Gateway), fare clic sul pulsante Nuovo (New).
Viene visualizzata la finestra di dialogo Nuova destinazione non SD-WAN tramite gateway (New Non SD-WAN Destination via Gateway).
- Nella casella di testo Nome (Name) immettere il nome per il destinazione non SD-WAN.
- Dal menu a discesa Tipo (Type), selezionare Router IKEv2 generico (VPN basata su route) (Generic IKEv2 Router (Route Based VPN)).
- Immettere l'indirizzo IP per il gateway VPN primario (e il gateway VPN secondario, se necessario) e fare clic su Avanti (Next).
Viene creato un destinazione non SD-WAN basato su route di tipo IKEv2 e viene visualizzata una finestra di dialogo per il destinazione non SD-WAN.
- Per configurare le impostazioni del tunnel per il gateway VPN primario del destinazione non SD-WAN, fare clic sul pulsante Avanzate (Advanced).
- Nell'area Gateway VPN primario (Primary VPN Gateway), è possibile configurare le seguenti impostazioni del tunnel:
Campo Descrizione Modalità tunnel (Tunnel Mode) La modalità Attivo/Hot standby (Active/Hot-Standby) è supportata in SD-WAN Gateway. Attivo/Hot standby (Active/Hot-Standby) viene visualizzato automaticamente per indicare che se il tunnel attivo diventa inattivo, il tunnel di standby (hot standby) subentra e diventa il tunnel attivo. PSK Pre-Shared Key (PSK), che è la chiave di sicurezza per l'autenticazione attraverso il tunnel. Orchestrator genera una chiave PSK per impostazione predefinita. Se si desidera utilizzare la propria chiave PSK o password, è possibile immetterla nella casella di testo. Crittografia (Encryption) Selezionare AES 128 o AES 256 come dimensione della chiave degli algoritmi AES per crittografare i dati. Il valore predefinito è AES 128. Gruppo DH (DH Group) Selezionare l'algoritmo del gruppo Diffie-Hellman (DH) da utilizzare quando si scambia una chiave PSK. Il gruppo DH imposta la potenza dell'algoritmo in bit. I gruppi DH supportati sono 2, 5 e 14. È consigliabile utilizzare il gruppo DH 14. PFS Selezionare il livello di PFS (Perfect Forward Secrecy) per una protezione aggiuntiva. I livelli di PFS supportati sono 2 e 5. Il valore predefinito è 2. Algoritmo di autenticazione (Authentication Algorithm) Algoritmo di autenticazione per l'intestazione VPN. Selezionare nell'elenco una delle seguenti funzioni Secure Hash Algorithm (SHA) supportate: - SHA 1
- SHA 256
- SHA 384
- SHA 512
Il valore predefinito è SHA 1.
Durata SA IKE (min) (IKE SA Lifetime(min)) Indica quando la ridefinizione delle chiavi IKE (Internet Key Exchange) viene avviata per gli Edge. La durata minima delle chiavi IKE è 10 minuti, mentre la durata massima è 1440 minuti. Il valore predefinito è 1440 minuti. Durata SA IPSec (min) (IPsec SA Lifetime(min)) Indica quando la ridefinizione delle chiavi IPSec (Internet Security Protocol) viene avviata per gli Edge. La durata minima delle chiavi IPSec è 3 minuti, mentre la durata massima è 480 minuti. Il valore predefinito è 480 minuti. Tipo DPD (DPD Type) Il metodo DPD (Dead Peer Detection) viene utilizzato per rilevare se il peer Internet Key Exchange (IKE) è attivo o inattivo. Se il peer viene rilevato come inattivo, il dispositivo elimina l'associazione di sicurezza IPSec e IKE. Nell'elenco selezionare Periodico (Periodic) o Su richiesta (On Demand). Il valore predefinito è Su richiesta (On Demand). Timeout DPD (sec) (DPD Timeout(sec)) Immettere il valore del timeout DPD. Il valore del timeout DPD verrà aggiunto al timer DPD interno, come descritto di seguito. Attendere una risposta dal messaggio DPD prima di considerare il peer inattivo (Dead Peer Detection). Prima della versione 5.1.0, il valore predefinito è 20 secondi. Per le versioni 5.1.0 e successive, vedere l'elenco seguente per il valore predefinito.- Nome libreria: QuickSec
- Intervallo probe: esponenziale (0,5 sec, 1 sec, 2 sec, 4 sec, 8 sec, 16 sec)
- Intervallo DPD minimo predefinito: 47,5 sec (QuickSec attende 16 secondi dopo l'ultimo tentativo. Quindi 0,5+1+2+4+8+16+16 = 47,5).
- Intervallo DPD minimo predefinito + Timeout DPD (sec): 67,5 sec
Nota: Prima della versione 5.1.0, è possibile disattivare DPD impostando il timer del timeout DPD su 0 secondi. Tuttavia, per le versioni 5.1.0 e successive, non è possibile disattivare DPD impostando il timer del timeout DPD su 0 secondi. Il valore del timeout DPD in secondi verrà aggiunto al valore minimo predefinito di 47,5 secondi.Nota: Quando AWS avvia il tunnel di ridefinizione delle chiavi con un VMware SD-WAN Gateway (in Destinazione non SD-WAN), è possibile che si verifichi un errore e che il tunnel non venga stabilito causando l'interruzione del traffico. Attenersi alle linee guida seguenti:- La configurazione del timer Durata SA IPSec (min) (IPsec SA Lifetime(min)) per il SD-WAN Gateway deve essere inferiore a 60 minuti (consigliati 50 minuti) per corrispondere alla configurazione IPSec predefinita di AWS.
- I gruppi DH e PFS DH devono corrispondere.
- Se si desidera creare un gateway VPN secondario per questo sito, fare clic sul pulsante Aggiungi (Add) accanto a Gateway VPN secondario (Secondary VPN Gateway). Nella finestra popup, immettere l'indirizzo IP del gateway VPN secondario e fare clic su Salva modifiche (Save Changes).
Verrà creato immediatamente il gateway VPN secondario per questo sito e verrà eseguito il provisioning di un tunnel VPN VMware in questo gateway.
- Selezionare la casella di controllo VPN cloud VeloCloud ridondante (Redundant VeloCloud Cloud VPN) per aggiungere tunnel ridondanti per ogni gateway VPN.
Tutte le modifiche apportate alla crittografia, al gruppo DH oppure al PFS del gateway VPN primario verranno applicate anche ai tunnel VPN ridondanti, se sono configurati. Dopo aver modificato le impostazioni del tunnel del gateway VPN primario, salvare le modifiche e quindi fare clic su Visualizza modello IKE/IPSec (View IKE/IPSec Template) per visualizzare la configurazione del tunnel aggiornata.
- Fare clic sul link Aggiorna posizione (Update Location) per impostare la posizione del destinazione non SD-WAN configurato. I dettagli di latitudine e longitudine vengono utilizzati per determinare l'Edge o il gateway migliore a cui connettersi nella rete.
- L'ID di autenticazione locale definisce il formato e l'identificazione del gateway locale. Dal menu a discesa ID autenticazione locale (Local Auth Id), scegliere tra i tipi seguenti e immettere il valore desiderato:
- FQDN: nome di dominio completo o nome host. Ad esempio, google.com.
- FQDN utente (User FQDN): nome di dominio completo dell'utente sotto forma di indirizzo e-mail. Ad esempio, [email protected].
- IPv4: indirizzo IP utilizzato per comunicare con il gateway locale.
Nota:Per la VPN basata su route generica, se l'utente non specifica un valore, come ID di autenticazione locale viene utilizzato Predefinito (Default). Il valore dell'ID di autenticazione locale predefinito sarà l'IP pubblico dell'interfaccia di SD-WAN Gateway.
- In Subnet del sito (Site Subnets), è possibile aggiungere subnet per il destinazione non SD-WAN facendo clic sul pulsante +. Se non sono necessarie subnet per il sito, selezionare la casella di controllo Disattiva subnet sito (Deactivate Site Subnets).
- Selezionare la casella di controllo Abilita tunnel (Enable Tunnel(s)) quando si è pronti per avviare il tunnel da SD-WAN Gateway ai gateway VPN IKEv2 generici.
- Fare clic su Salva modifiche (Save Changes).
- Assegnare il servizio di rete del sito non SD-WAN appena creato a un profilo passando a Configura (Configure) > Profili (Profiles) in SD-WAN Orchestrator. Vedere Configurazione di un tunnel tra una filiale e una destinazione non SD-WAN tramite gateway.
- Tornare all'area Destinazione non SD-WAN tramite gateway (Non SD-WAN Destinations via Gateway) in SD-WAN Orchestrator passando a Configura (Configure) > Servizi di rete (Network Services).
- Nell'area Destinazione non SD-WAN tramite gateway (Non SD-WAN Destinations via Gateway), scorrere fino al nome del sito non SD-WAN e quindi fare clic sul link Modifica (Edit) nella colonna BGP.
- Configurare i valori di BGP per i seguenti campi obbligatori: ASN locale (Local ASN), Tipo di tunnel (Tunnel Type), IP router adiacente (Neighbor IP) e IP locale (Local IP), nella sezione Opzioni avanzate (Advanced Options). Per ulteriori informazioni, vedere Configurazione di BGP su IPSec dai gateway.
Nota: L'IP di VTI (IP privato) assegnato da SD-WAN Orchestrator può essere utilizzato per la peership in BGP con hop singolo.
- Fare clic su OK per salvare le modifiche.
- Nell'area Destinazione non SD-WAN tramite gateway (Non SD-WAN Destinations via Gateway), fare clic sul link Modifica (Edit) nella colonna BFD per una destinazione non SD-WAN, per configurare le impostazioni di BFD. Per ulteriori informazioni, vedere Configurazione di BFD per i Gateway.